【資安日報】7月17日,專案管理工具Trello逾1,500萬名使用者個資流入地下論壇,對方聲稱是透過公開的API取得
支付動態 · 2024-07-18

駭客近日於地下論壇公布專案管理工具Trello逾1,500萬名用戶個資,並透露這些資料如何收集,這樣的情況引起資安界高度關注

綽號為Emo的駭客本周二(7月16日)於駭客論壇BreachForums上,免費公開專案管理工具Trello的21.1 GB內部資料,內含逾1,500萬名使用者的個資,包括電子郵件帳戶、姓名、使用者名稱、個人檔案網址、狀態資訊及設定等。

其實早在今年1月就傳出Trello遭駭、用戶資料外洩的消息,只是當時Emo是在駭客論壇上兜售此一資料庫,現在則是直接免費釋出。Have I Been Pwned也於今年1月便收錄該資料庫,供使用者查詢是否處於被駭名單中。

這名駭客也解釋如何取得Trello的用戶個資,他表示,來源是Trello開放的API端點,可允許任何未經身分驗證的使用者比對既有電子郵件帳戶及Trello帳戶,他認為,這個管道非常適合用來進行肉搜。

半年前APT駭客組織Void Banshee利用MSHTML零時差漏洞散布竊資軟體Atlantida

微軟在本月的例行更新(Patch Tuesday)當中修補MSHTML平臺欺騙漏洞CVE-2024-38112,並表示這項漏洞已被用於攻擊行動,在通報此事的資安業者Check Point透露駭客如何利用這項漏洞後,一個多禮拜之後的現在,有其他資安業者公布新的調查結果。

資安業者趨勢科技指出,他們旗下的漏洞懸賞專案Zero Day Initiative(ZDI)也在今年5月向微軟通報CVE-2024-38112遭到利用的情況,鎖定北美、歐洲、東南亞的APT駭客組織Void Banshee,從今年1月開始發動零時差漏洞攻擊,並在受害電腦植入竊資軟體Atlantida。

電池正極材料業者泓辰驚傳LMFP電池機密外洩,有員工在離職前擅自攜出價值近20億元的產品營業秘密

位於桃園市平鎮區的電池正極材料業者泓辰材料(HCM)傳出54歲的鄒姓專案經理在離職前夕,帶走大量內部機密資料,價值19.44億的產品營業秘密恐遭到外洩。

鄒姓男子看中泓辰相關技術,於去年9月4日任職生技部專案經理,卻在12月1日提出離職,勞資協議工作到12月底。但在這段期間,他卻在12月8日及26日,利用接觸LMFP電池正極材料的生產技術、配方、設備研發機密的機會,擅自將相關營業秘密資料檔案5,861個複製到自己的隨身碟、行動硬碟並帶離公司。

7月15日桃園地方檢察署宣布偵辦完結,認為該名經理犯下營業秘密法第13條之1第1項第2款、3款逾越授權重製,以及刑法第359條無正當理由取得他人電磁紀錄等罪嫌,提起公訴,並考量鄒嫌造成的損害極為嚴重,為維護我國高科技產業健全發展,建議法院從重量刑。

其他攻擊與威脅

美國證實Geoserver元件GeoTools重大漏洞已被用於攻擊行動

駭客組織Scattered Spider利用勒索軟體Qilin從事攻擊行動

駭客組織CloudSorcerer鎖定俄羅斯企業組織而來

拉丁美洲遭金融木馬Coyote鎖定,駭客的主要標的是巴西金融機構用戶

研究人員揭露廣告詐欺攻擊行動Konfety,駭客透過逾250個Google Play市集的App偷渡惡意程式

 

【資安產業動態】

準備撤出美國市場的卡巴斯基,將提供當地用戶半年份免費防毒

上個月美國商務部公布調查最終決定,以美國國家安全為由,要求卡巴斯基在7月20日終止在美國銷售產品。隔天美國財政部又宣布制裁這家俄國防毒軟體業者十多名高層。卡巴斯基證實,考量在美國已不再有業務機會,該公司將逐步關閉在美國的營運,結束在美國20年的營運。如今該公司祭出最新的措施,宣布將提供當地民眾半年免費防毒。

該公司在美國網站上宣布,由於他們將撤出美國,將提供6個月該廠牌的資安解決方案作為禮物,當地使用者將能透過My Kaspersky網站取得。但為何是6個月?資安新聞網站Bleeping Computer推測,很有可能與美國商務部的禁令有關。

Alphabet傳出將以230億美元買下雲端資安業者Wiz,創下歷來最大併購案

根據華爾街日報報導,Google母公司Alphabet即將以230億美元天價買下雲端平臺資安業者Wiz,為該公司有史以來規模最大的併購案。報導指出,收購談判的細節還未底定,但可能即將完成。Alphabet希望藉此併購案,強化Google的雲端安全業務。不過,併購後Wiz將如何整合進Google產品或是Alphabet組織體系,目前尚不清楚。

這家資安新創公司二個月前才宣布在E輪募資中投10億美元資金,目前公司市值達120億美元。假若Alphabet真以上述金額買下Wiz,將是繼2012年以125億美元買下Motorola,另一宗大型併購案。該公司2022年併購資安業者Mandiant的價碼為54億美元

 

近期資安日報

【7月16日】駭客組織NullBulge聲稱入侵迪士尼,從近萬個Slack頻道竊得超過1 TB內部檔案,但真實性有待進一步確認

【7月15日】美國電信業者AT&T針對今年4月的資安事故通報調查結果,客戶通話及簡訊記錄遭到外流

【7月12日】研究人員揭露鎖定巴黎奧運購票民眾的詐欺駭客組織Ticket Heist,並警告接下來的歐洲盃足球賽也被鎖定

Popular articles
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
Across 6 Cities: HUIDU Invites You to 8 World Cup Parties Redefining High-Value Social Networking
HUIDU Focus
GGC Awards 2026 Shines in Colombo: Honoring Leaders and Innovators in the iGaming Industry
HUIDU Focus
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
British gambling levy rates confirmed for each vertical
Regulation
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
Are you ready to maximize your earnings? Try ProPush.me Constructor!
Marketing
Home
Game
Cooperation
Find
My